Logstash 如何与 Syslog 集成？

Posted 2023-02-22

【中文标题】Logstash 如何与 Syslog 集成？

【英文标题】：How does Logstash integrate with Syslog?

【发布时间】：2014-05-06 19:48:09

【问题描述】：

我试图弄清楚Logstash 如何与系统日志集成。以下哪项是正确的：

Lo​​gstash 本身是一个真正的系统日志服务器（实现系统日志协议）。在这种情况下，您将所有 syslog 客户端配置为通过 syslog 协议直接登录到 Logstash 服务器。或者... 您将所有 syslog 客户端配置为登录到集中式 syslog 服务器（例如运行rsyslog 的机器），然后在 syslog 服务器和 Logstash 服务器之间配置某种桥接？或者... 完全不同的东西？

我希望了解 syslog 客户端、syslog 服务器和 Logstash 之间的关系。

【参考方案1】：

如果您在 logstash (http://logstash.net/docs/1.4.0/inputs/syslog) 上使用系统日志输入，则您正在设置 TCP/UDP 系统日志服务器。这意味着您必须告诉您的客户端（例如 log4j）您的 syslog 服务器在哪里，或者配置一个已经在运行的 syslog 实例以将消息转发到您的 logstash 实例（通过 /etc/syslog.conf 文件中的 *.* @host 语法） .

这实际上取决于您的要求——如果您需要从 unix 域套接字接收日志，则必须使用转发方法或设置文件观察器来直接观察 /var/log/* 文件.